Teken niet zomaar een bewerkersovereenkomst, zeker niet als u helemaal geen bewerker bent

25 juli 2017, laatst geüpdatet 11 september 2024
Steeds meer organisaties vereisen dat leveranciers en partners waarmee persoonsgegevens worden uitgewisseld een bewerkersovereenkomst sluiten. Regelmatig wordt het ondertekenen van de bewerkersovereenkomst zelfs (min of meer) afgedwongen. Er wordt vaak onvoldoende kritisch gekeken of het wel terecht is dat überhaupt een bewerkersovereenkomst wordt voorgelegd. Dat kan vervelend uitpakken. In deze blog zet ik uiteen waarom. De bewerkersovereenkomstWanneer het verwerken van persoonsgegevens word...
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Steeds meer organisaties vereisen dat leveranciers en partners waarmee persoonsgegevens worden uitgewisseld een bewerkersovereenkomst sluiten. Regelmatig wordt het ondertekenen van de bewerkersovereenkomst zelfs (min of meer) afgedwongen. Er wordt vaak onvoldoende kritisch gekeken of het wel terecht is dat überhaupt een bewerkersovereenkomst wordt voorgelegd. Dat kan vervelend uitpakken. In deze blog zet ik uiteen waarom.



De bewerkersovereenkomst

Wanneer het verwerken van persoonsgegevens wordt uitbesteed aan een bewerker, dan is het op grond van de wet verplicht met die bewerker een schriftelijke overeenkomst te sluiten (artikel 14 Wbp).

Voorbeeld: het uitbesteden van administratiewerkzaamheden aan een administratiekantoor, het uitbesteden van IT-diensten aan een IT-dienstverlener of het uitbesteden van het uitvoeren van mailings aan een marketingbureau.


Eigenschap bewerker: niet voor eigen doeleinden

De kern van een bewerkersovereenkomst is dat de gegevens alleen in opdracht van de verantwoordelijke mogen worden verwerkt en niet voor eigen doeleinden. Het gaat om uitbestede / gedelegeerde verwerkingsactiviteiten (die een verantwoordelijke ook zelf had kunnen verrichten).

Eigenschap verantwoordelijke: wel voor eigen doeleinden

Daarin verschilt (de rol van) de bewerker ook het meest duidelijk van (de rol van) de verantwoordelijke. De verantwoordelijke verwerkt namelijk de gegevens wel voor eigen doeleinden.

Oftewel, de verantwoordelijke heeft een eigen klantrelatie met de betrokkene, terwijl de bewerker die relatie niet heeft.

Vergelijking bewerker - verantwoordelijke

Schematisch bezien levert dat de volgende, wat grofmazige, vergelijking op.

verantwoordelijke bewerker
doelen verwerkt voor eigen doeleinden verwerkt voor doeleinden opdrachtgever
"eigendom" verwerkt "eigen" gegevens verwerkt "andermans" gegevens
nieuwe initiatieven kan gegevens voor nieuwe doeleinden verwerken mag gegevens alleen voor bestaande doeleinden verwerken
klantrelatie heeft klantrelatie met betrokkene heeft geen klantrelatie met betrokkene
aansprakelijkheid is volledig aansprakelijk voor naleving privacyrecht is alleen aansprakelijk voor bewerkingshandelingen


Overigens is de praktijk weerbarstiger dan dit eenvoudige schema. Ter illustratie wijs ik op de opinie van de artikel 29 werkgroep uit 2010 over de begrippen "verantwoordelijke" en "bewerker".

Niet iedere derde partij is een bewerker

In de praktijk zien we dat partijen denken dat met iedere derde partij waarmee persoonsgegevens worden uitgewisseld een bewerkersovereenkomst moet worden gesloten. Dat is niet het geval. Dat is alleen het geval voor zover de betreffende derde partij (deels) kwalificeert als bewerker.

Bij uitwisseling met verantwoordelijke spelen hele andere vragen

Bij de uitwisseling van persoonsgegevens met een partij die kwalificeert als verantwoordelijke, spelen hele andere vragen. Een dergelijke uitwisseling is een "verwerking" die (dus) moet voldoen aan alle eisen die de wet stelt.

Voorbeeld: het doorzenden van gegevens van personeelsleden aan een pensioenfonds, het doorzenden van gegevens aan de leasemaatschappij, het doorzenden van een dossier aan een opvolgend behandelaar, etc.


Er zal dus een grondslag voor de verwerking moeten zijn, de verwerking zal in overeenstemming moeten zijn met het doelbindingsbeginsel, de verwerking zal goed beveiligd moeten zijn en de transparantie zal moeten zijn gewaarborgd. Zie voor de details onze gratis online tool "de privacycheck".

De verschillende vragen in een schema

In de kern komen de verschillende vragen hier op neer (grofweg samengevat).

Uitwisseling met een verantwoordelijke Uitwisseling met een bewerker


  • grondslag checken;

  • doelbinding checken;

  • juistheid/relevantie gegevens checken;

  • transparantie naleven (afspreken of de verzender of ontvanger transparant is);

  • bij internationale situaties buiten EER: check exportverbod.




  • kwaliteit bewerker checken;

  • bewerkersovereenkomst sluiten;

  • toezien op bewerker;

  • bij internationale situaties buiten EER: check exportverbod.



Een verantwoordelijke die een bewerkersovereenkomst sluit zet zich klem

Een partij die kwalificeert als verantwoordelijke, maar desondanks een bewerkersovereenkomst sluit (bijv. onder druk van de wederpartij), zet zichzelf klem. In de bewerkersovereenkomst zegt hij immers toe gegevens niet voor eigen doeleinden te gaan gebruiken, terwijl de kern van de rol van verantwoordelijke nu juist is dat gegevens wel degelijk voor eigen doeleinden worden gebruikt.

Een verantwoordelijke die een bewerkersovereenkomst sluit, sluit dus een overeenkomst waarvan hij weet dat hij deze niet zal (kunnen) nakomen. Dat kan leiden tot ontbinding van de bewerkersovereenkomst en daarmee, wegens samenhang, waarschijnlijk ook tot ontbinding van de hoofdovereenkomst. Zo kan, in theorie in ieder geval, het ondertekenen van het verkeerde privacyrechtelijke contract leiden tot het verlies van contracten. Een bepaald onwenselijk gevolg. Uiteraard valt te bezien of in de praktijk die soep zo heet wordt gegeten, hiervoor is - voor zover mij bekend - nog geen rechtspraak.

Bij wanprestatie bestaat in beginsel ook aanspraak op schadevergoeding. Als vervolgens blijkt dat de betreffende partij geen verhaal biedt, zou dit zelfs tot bestuurdersaansprakelijkheid kunnen leiden. De vraag bij dit alles is overigens wel welke schade er precies is geleden (dat gaat het bestek van deze blog wat te buiten).

Angst voor boetes en claims

De neiging om maar met iedereen bewerkersovereenkomsten te sluiten lijkt voort te komen uit angst voor boetes van de Autoriteit Persoonsgegevens en claims van betrokkenen bij bijvoorbeeld datalekken.

Die angst is bij uitwisseling met een verantwoordelijke grotendeels onterecht. Zowel de verstrekkende als de ontvangende verantwoordelijke is immers zelf - what's in a name - verantwoordelijk voor naleving van de privacywetgeving. Mocht er bij de ontvangende verantwoordelijke een datalek optreden, dan is die partij verantwoordelijk voor dat datalek.

De verstrekkende verantwoordelijke zou met betrekking tot het datalek hooguit een afgeleide aansprakelijkheid kunnen hebben wegens het onvoldoende waarborgen van een zorgvuldige verwerking van persoonsgegevens. Dat is niet ondenkbaar, maar je loopt wel snel aan tegen vragen van onder meer het causaal verband (en de werkbaarheid in de praktijk).

Wel is het uiteraard zo dat de verstrekkende verantwoordelijke aangesproken zou kunnen worden op de verstrekking van persoonsgegevens als zodanig. Als die uitwisseling van persoonsgegevens niet rechtmatig was, dan kunnen daar boetes of claims uit voortvloeien. Dat wordt echter niet opgelost door het sluiten van een bewerkersovereenkomst. Dat wordt opgelost door ervoor te zorgen dat de uitwisseling zelf rechtmatig is (of achterwege gelaten wordt).

Resumerend

Met andere woorden:

  • onderteken geen bewerkersovereenkomst als u geen bewerker bent;

  • leg geen bewerkersovereenkomsten voor aan partijen die geen bewerker zijn;

  • toets de inhoud van de bewerkersovereenkomst alvorens deze te ondertekenen;

  • bent u de verzendende partij? Denk dan vooraf na over de hoedanigheid van de ontvangende partij en neem de maatregelen die daarbij horen (zie schema hierboven);

  • bent u de ontvangende partij? Toets dan voordat u verder iets met de gegevens doet of de juiste maatregelen zijn genomen (zie schema hierboven);

  • let er bij dit alles op dat één partij beide hoedanigheden (verantwoordelijke en bewerker) tegelijkertijd kan hebben (voor verschillende onderdelen van het verwerkingsproces).



Heeft u vragen over het privacyrecht? Naam dan gerust contact op.

Gerelateerd